Fehler in Software sind so alt wie die Programmierung selbst. Manche Bugs schlummern jahrzehntelang unentdeckt im Code, bis sie von Hackern ausgenutzt werden. Anthropic will das mit einem neuen KI-Werkzeug ändern: Claude Code Security durchforstet ganze Codebasen in kürzester Zeit nach Sicherheitslücken.
Das auf Opus 4.6 basierende Tool soll gefundene Schwachstellen gleich validieren, damit keine Falschmeldungen entstehen. Bei der Vorstellung brüstete sich Anthropic damit, bereits über 500 Sicherheitsprobleme in quelloffenen Projekten entdeckt zu haben.
Doch wie t3n.de berichtet, stoßen diese Zahlen bei Sicherheitsexperten auf heftige Kritik. Guy Azari, ehemaliger Sicherheitsforscher bei Microsoft und Palo Alto Networks, hält dagegen: "Von den 500 Schwachstellen, die sie gemeldet haben, wurden nur zwei oder drei Sicherheitsprobleme behoben. Wenn sie sie nicht behoben haben, bedeutet das, dass sie gar nichts richtig gemacht haben".
Laut Azari war das Finden von Bugs noch nie die eigentliche Herausforderung. Schon vor dem KI-Zeitalter hätten Teams täglich zahllose Meldungen erhalten. Seit KI-Systeme mitmischen, habe sich das Volumen um das Hundert- bis Zweihundertfache multipliziert - und mit den Meldungen kam jede Menge Rauschen.
Ein zentrales Problem: Die Funde kommen ohne CVE-Eintrag - also ohne standardisierte Dokumentation, die Entwicklern Tragweite und Auswirkungen einer Lücke erklärt. Ohne solche Einträge werden die gemeldeten Bugs von Programmierern schlicht ignoriert.
Die Konsequenzen sind bereits spürbar. Das Team hinter dem bekannten Kommandozeilen-Tool cURL hat sein Bug-Bounty-Programm eingestellt. Der Grund: Es sei mittlerweile zu schwer, echte Fehlermeldungen in der Masse an KI-generierten Bugmeldungen zu finden.
Auch Feross Aboukhadijeh, Chef des Cybersecurity-Unternehmens Socket, sieht das Problem nicht beim Finden, sondern bei allem, was danach kommt: "Der schwere Teil ist nicht mehr das Auffinden, sondern alles, was danach kommt". KI-Systeme müssten in der Lage sein, Schwachstellen zu validieren, zu reproduzieren und nachvollziehbar zu dokumentieren.
Anthropic hat sich bisher nicht zur Kritik geäußert. Das Unternehmen betonte allerdings, eng mit den Entwicklern der betroffenen Projekte zusammenzuarbeiten, um die gefundenen Lücken schrittweise zu schließen. Im Bereich KI und Sicherheit steht Anthropic derzeit ohnehin unter besonderer Beobachtung - erst kürzlich wurde bekannt, dass Kriminelle den Chatbot Claude für einen Cyberangriff auf mexikanische Regierungsbehörden missbraucht haben.
